Une attaque par déni de service distribué (DDoS) est une attaque dans laquelle plusieurs systèmes informatiques compromis attaquent une cible, telle qu’un serveur, un site Web ou une autre ressource réseau, et provoquent un déni de service pour les utilisateurs de la ressource ciblée. Le flot de messages entrants, de demandes de connexion ou de paquets mal formés vers le système cible le force à ralentir, voire à se bloquer et à s’arrêter, ce qui prive le service aux utilisateurs ou systèmes légitimes.,
Les attaques DDoS ont été menées par divers acteurs de la menace, allant des pirates informatiques individuels aux réseaux du crime organisé et aux agences gouvernementales. Dans certaines situations, souvent liées à un codage médiocre, à des correctifs manquants ou à des systèmes généralement instables, même les demandes légitimes aux systèmes cibles peuvent entraîner des résultats de type DDoS.
Comment fonctionnent les attaques DDoS
Dans une attaque DDoS typique, l’assaillant commence par exploiter une vulnérabilité dans un système informatique et en faire le maître DDoS., Le système maître d’attaque identifie d’autres systèmes vulnérables et prend le contrôle sur eux en infectant les systèmes avec des logiciels malveillants ou en contournant les contrôles d’authentification (c’est-à-dire en devinant le mot de passe par défaut sur un système ou un appareil largement utilisé).
un ordinateur ou Un périphérique réseau sous le contrôle d’un intrus est connu comme un zombie, ou bot. L’attaquant crée ce qu’on appelle un serveur de commande et de contrôle pour commander le réseau de bots, également appelé botnet., La personne qui contrôle un botnet est parfois appelée botmaster (ce terme a également été historiquement utilisé pour désigner le premier système « recruté » dans un botnet car il est utilisé pour contrôler la propagation et l’activité d’autres systèmes dans le botnet).
Les botnets peuvent être composés de presque n’importe quel nombre de bots; les botnets avec des dizaines ou des centaines de milliers de nœuds sont devenus de plus en plus courants, et il peut ne pas y avoir de limite supérieure à leur taille., Une fois le botnet assemblé, l’attaquant peut utiliser le trafic généré par les appareils compromis pour inonder le domaine cible et le déconnecter.
Types d’attaques DDoS
Il y a trois types d’attaques DDoS. Les attaques centrées sur le réseau ou volumétriques surchargent une ressource ciblée en consommant la bande passante disponible avec des inondations de paquets. Les attaques de protocole ciblent les protocoles de la couche réseau ou de la couche de transport en utilisant des failles dans les protocoles pour submerger les ressources ciblées., Et les attaques de couche d’application surchargent les services d’application ou les bases de données avec un volume élevé d’appels d’application. L’inondation des paquets à la cible provoque un déni de service.
Bien qu’il soit clair que la cible d’une attaque DDoS est une victime, il peut y avoir beaucoup d’autres victimes dans une attaque DDoS typique, y compris les propriétaires des systèmes utilisés pour exécuter l’attaque. Bien que les propriétaires d’ordinateurs infectés ignorent généralement que leurs systèmes ont été compromis, ils sont néanmoins susceptibles de subir une dégradation du service lors d’une attaque DDoS.,
Internet des objets et attaques DDoS
Bien que les objets composant l’Internet des objets (IoT) puissent être utiles aux utilisateurs légitimes, dans certains cas, ils le sont encore plus aux attaquants DDoS. Les appareils connectés à l’IoT incluent tout appareil dans lequel une certaine capacité informatique et de réseau a été construite, et, trop souvent, ces appareils ne sont pas conçus avec la sécurité à l’esprit.
Les appareils connectés à l’IoT exposent de grandes surfaces d’attaque et accordent une attention minimale aux meilleures pratiques de sécurité., Par exemple, les appareils sont souvent livrés avec des informations d’identification codées en dur pour l’administration du système, ce qui permet aux attaquants de se connecter facilement aux appareils. Dans certains cas, les informations d’identification d’authentification ne peuvent pas être modifiées. Les appareils sont également souvent livrés sans la capacité de mettre à niveau ou de corriger le logiciel de l’appareil, ce qui les expose davantage à des attaques qui exploitent des vulnérabilités bien connues.
Les botnets de l’Internet des objets sont de plus en plus utilisés pour mener des attaques DDoS massives. En 2016, le botnet Mirai a été utilisé pour attaquer le fournisseur de services de noms de domaine Dyn, basé à Manchester, New Hampshire.,; les volumes d’attaque ont été mesurés à plus de 600 Gbps. Une autre attaque lancée fin 2016 contre OVH, l’hébergeur français, a culminé à plus de 1 Tbps.
Défense et prévention des attaques DDoS
Les attaques DDoS peuvent créer des risques commerciaux importants avec des effets durables. Par conséquent, il est important que les administrateurs et les responsables informatiques et de sécurité, ainsi que leurs dirigeants d’entreprise, comprennent les menaces, les vulnérabilités et les risques associés aux attaques DDoS.
Être à la réception d’une attaque DDoS est pratiquement impossible à empêcher., Cependant, l’impact commercial de ces attaques peut être minimisé grâce à certaines pratiques de sécurité de l’information de base, notamment en effectuant des évaluations de sécurité continues pour rechercher-et résoudre-les vulnérabilités liées au déni de service et en utilisant des contrôles de sécurité réseau, y compris les services de fournisseurs basés sur le cloud spécialisés dans la réponse aux attaques DDoS.
En outre, de solides pratiques de gestion des correctifs, des tests de phishing par e-mail et une sensibilisation des utilisateurs, ainsi qu’une surveillance et une alerte réseau proactives peuvent aider à minimiser la contribution d’une organisation aux attaques DDoS sur Internet.